CN107358129A - 安全的数据存储设备和方法 - Google Patents
安全的数据存储设备和方法 Download PDFInfo
- Publication number
- CN107358129A CN107358129A CN201610301169.XA CN201610301169A CN107358129A CN 107358129 A CN107358129 A CN 107358129A CN 201610301169 A CN201610301169 A CN 201610301169A CN 107358129 A CN107358129 A CN 107358129A
- Authority
- CN
- China
- Prior art keywords
- data
- storage
- address
- safe
- safe class
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1491—Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1466—Key-lock mechanism
- G06F12/1475—Key-lock mechanism in a virtual system, e.g. with translation means
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0637—Permissions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0683—Plurality of storage devices
- G06F3/0685—Hybrid storage combining heterogeneous device types, e.g. hierarchical storage, hybrid arrays
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Human Computer Interaction (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出一种安全的数据存储设备和方法。该设备包括:主机单元,被配置成获取存储在外部设备上的外部存储地址处的数据;用户信号生成器,被配置成根据所述数据的所述外部存储地址生成用户定义的安全信号,所述数据的所述外部存储地址指示所述数据的安全等级;存储地址确定单元,被配置成根据所述数据的所述安全等级为所述数据确定内部存储地址;以及存储单元,被配置成将所述数据存储在与所述安全等级相对应的所述内部存储地址处。
Description
技术领域
本发明涉及用于数据存储的设备和方法,特别是涉及根据数据的安全等级用于安全的数据存储的设备和方法。
背景技术
现如今,越来越多的应用具有各种数据安全要求,并且取决于应用,可能会对各种数据定义不同的安全等级。现在的数据存储解决方案在存储数据时并不区分数据的安全等级之间的差别,即,具有不同的安全等级的数据以相同的安全保护等级按照相同的方式被存储。
因此,希望能够将具有不同的安全等级的数据存储在设备中的具有对应的安全保护等级的区域中。
发明内容
本发明提出了一种安全的数据存储设备和方法。
该安全的数据存储设备包括:主机单元,被配置成获取存储在外部设备上的外部存储地址处的数据;用户信号生成器,被配置成根据所述数据的所述外部存储地址生成用户定义的安全信号,所述用户定义的安全信号指示所述数据的安全等级;存储地址确定单元,被配置成根据所述数据的所述安全等级为所述数据确定内部存储地址;以及存储单元,被配置成将所述数据存储在与所述安全等级相对应的所述内部存储地址处。
该安全的数据存储方法包括:获取存储在外部设备上的外部存储地址处的数据;根据所述数据的所述外部存储地址生成用户定义的安全信号,所述用户定义的安全信号指示所述数据的安全等级;根据所述数据的所述安全等级为所述数据确定内部存储地址;以及将所述数据存储在与所述安全等级相对应的所述内部存储地址处。
附图说明
本文通过实例进行了说明,但是本文并不仅限于附图中示出的实施例。在附图中,相似的部件采用相似的参考标号。在附图中的各个部件是用于说明上的简单清楚,并没有按比例绘制。
图1是根据示例性实施例的安全的数据存储设备的示意性框图;
图2是根据另一个示例性实施例的安全的数据存储设备的示意性框图;
图3是根据示例性实施例的基于ARM的安全的数据存储***的示意性框图;
图4是根据示例性实施例的安全的数据存储方法的流程图;
图5是FIS(Frame Information Structure:帧信息结构)的示意图;
图6是根据示例性实施例说明主机单元、用户信号生成器和AMBA桥之间的处理的示意图;
图7是存储地址确定单元的实例的示意图;以及
图8是安全处理单元的实例的示意图。
具体实施方式
图1是根据示例性实施例的安全的数据存储设备100的示意性框图。如图1所示,该设备100包括主机单元102,被配置成接收存储在外部设备上的外部存储地址处的数据。在一个实例中,外部设备经由端口复用器连接到主机单元102。数据经由端口复用器从外部设备发送到主机单元102。
该设备100还包括与主机单元102通信连接的用户信号生成器104,用户信号生成器104根据数据的外部存储地址生成用户定义的安全信号,该用户定义的安全信号指示数据的安全等级。
存储地址确定单元106与用户信号生成器104通信连接,并且被配置成根据数据的安全等级为数据确定内部存储地址。存储单元108与存储地址确定单元106通信连接,并且被配置成将数据存储在由存储地址确定单元106确定的内部存储地址处。
用户信号生成器104使用安全等级和数据在外部设备上的外部存储地址之间的安全等级映射规则来确定数据的安全等级,其中,存储在外部设备的外部存储地址处的数据的安全等级是已知信息。利用该已知信息,在设备100中预先配置安全等级映射规则,可以根据需要修改/重新配置安全等级映射规则。安全等级映射规则包括数据的安全等级与数据的外部存储地址之间的对应关系。因此,根据安全等级映射规则,用户信号生成器104能够从数据的外部存储地址确定数据的安全等级。
存储地址确定单元106使用安全等级和存储单元108中的内部存储地址之间的内部存储地址映射规则来为数据确定内部存储地址。
存储单元108可以包括各种片内存储器和片外存储器以及它们的控制器,诸如OCRAM(片内RAM)、SDRAM、DDR SDRAM、NAND Flash、NOR Flash等。在当前优先实施例中,存储单元108被分成不同的区域,每个区域只能由安全等级等于或高于与该区域相关联的特定安全等级的应用来读取。内部存储地址映射规则包括安全等级与存储单元108中的内部存储地址之间的对应关系。在示例性实施例中,存储地址确定单元106根据内部存储地址映射规则为数据确定存储单元108中与数据的安全等级相对应的合适的存储地址,从而为具有不同的安全等级的数据提供合适的存储安全保护。或者,存储地址确定单元106可以使用不同的内部存储地址映射规则来为具有不同的安全等级的数据确定内部存储地址。
在一个实施例中,设备100在从外部设备接收到数据时,为数据预先分配初始内部存储地址。此外,在该实施例中,存储地址确定单元106包括存储器管理单元(MMU)。如果数据的安全等级等于或高于预定安全等级,则MMU使用内部存储地址映射规则,将为数据预先分配的初始内部存储地址映射成最终的内部存储地址。然后,数据被存储到存储单元108中与安全等级相对应的该最终的内部存储地址处。预定的安全等级可以是最小的安全等级,在这种情况中,存储地址确定单元106可以对所有数据进行上述地址映射处理。
在另一个实施例中,MMU可以包括TLB(Translation Look-asideBuffer:转换后备缓冲区)。如果数据的安全等级等于或高于预定安全等级,则存储地址确定单元106可以使用TLB来进行从设备100为数据预先分配的初始内部存储地址到最终的内部存储地址的地址映射处理。TLB是高速缓冲存储器,存储最近的地址映射结果用于快速查找。当进行地址映射处理时,首先检查TLB中是否存储有相应的地址映射结果。使用TLB提高了地址映射处理的速度。预定的安全等级可以是最小的安全等级,在这种情况中,存储地址确定单元106可以使用TLB对所有数据进行上述地址映射处理。
如果数据的安全等级低于预定安全等级,则存储地址确定单元106根据内部存储地址映射规则,将设备100为数据预先分配的初始内部存储地址作为该数据最终的内部存储地址。存储在初始内部存储地址的数据可以是任何用户或应用都可以访问的。
图2是根据另一个示例性实施例的安全的数据存储设备200的示意性框图。如同图1中所示的设备100,设备200也包括主机单元102、用户信号生成器104、存储地址确定单元106以及存储单元108。设备200还包括安全处理单元110。在图2中,用虚线示出的两个安全处理单元110表示安全处理单元110可以被配置在存储地址确定单元106的左侧或者存储地址确定单元106的右侧。在从外部设备发送过来的数据被存储到存储单元108中之前,安全处理单元110根据数据的安全处理要求,确定是否需要对数据执行安全处理,以及根据该确定结果对数据执行安全处理。如果安全处理单元110确定需要对数据执行安全处理,则安全处理单元110对数据执行相应的安全处理。如果安全处理单元110确定不需要对数据执行安全处理,则安全处理单元110不对数据执行任何安全处理,将数据直接转发给下一个单元(存储地址确定单元106或存储单元108)。
安全处理要求是由数据的用户定义的安全信号指示的。在一个实例中,用户定义的安全信号包括指示数据的安全处理要求的信息。例如,这种信息的内容可以是:“加密”、“解密”、“不进行安全处理”。“加密”是指数据在被存储到存储单元108中之前要被加密。“解密”是指数据在被存储到存储单元108中之前要被解密。“不进行安全处理”是指数据在被存储到存储单元108中之前不对数据进行任何安全处理。在数据被存储到存储单元108中之前,安全处理单元110根据上述信息的内容对数据执行相应的处理。
在另一个实例中,可以根据数据的安全等级确定数据的安全处理要求。例如,如果数据的安全等级等于或高于某一安全等级,则安全处理单元110确定数据在被存储到存储单元108中之前必须要被加密;如果数据的安全等级低于某一安全等级,则安全处理单元110确定数据在被存储到存储单元108中之前,经加密的数据必须被解密,或者不需要对未加密的数据进行任何安全处理。
由安全处理单元110执行的安全处理可以包括利用各种密码算法实现的加密或解密处理。例如,如果将要存储到存储单元108中的加密数据的安全等级非常低,则不需要以加密形式将该数据存储到存储单元108中,因此该数据的安全处理要求可以指示安全处理单元100在存储该数据之前对该数据进行解密。如果将要存储到存储单元108中的未加密的数据的安全等级非常高,则需要以加密形式将该数据存储到存储单元108中,因此该数据的安全处理要求可以指示安全处理单元100在存储该数据之前对该数据进行加密。这样,数据被存储在存储单元108中具有合适的安全保护。
上述部件102-110都是由硬件实现的,可以由软件或处理器来对这些硬件进行配置。
下面,将参考图3和图4所示的具体实例来描述安全的数据存储方法。图3是基于ARM的安全的数据存储***的示意性框图,以及图4是安全的数据存储方法的流程图。在该实例中,设备300是基于ARM(Advanced RISC machine)的片上***,主机单元102可以是SATA/SAS主机单元,外部设备可以是SATA/SAS大容量存储设备,诸如SATA HDD(Hard Disk Drive:硬盘驱动器)和SSD(Solid-State Drive:固态驱动器)。SATA/SAS大容量存储设备可以通过端口复用器116连接到SATA/SAS主机单元102。在图3中,外部设备被表示为多个SATA HDD118-1,118-2,...118-N。数据经由端口复用器116从外部设备118-1,118-2,...118-N发送到设备300并被存储到设备300的存储单元108中。
如图4所示,在步骤401中,主机单元102使用外部存储地址从某个外部设备获取数据。当SATA主机和其终端设备(例如SATA HDD)之间出现新的访问时,在主机侧使用FIS(Frame Information Structure:帧信息结构)。图5是FIS的示意图。根据SATA规范以及图5所示,FIS被用于指示SATA主机和终端设备之间的特定访问的特征和目的地。在图5中,PM Port(PM端口)被用于指示经由端口复用器116连接的哪一个终端设备(例如SATA HDD)将要被SATA主机访问,LBA被用于指示终端设备上的存储地址。在某些情况中,特定的存储空间或特定的终端设备被作为安全空间或安全终端设备。希望来自这些安全空间或安全终端设备的数据能够被存储到SATA主机侧(即设备300)的具有相应的安全保护等级的特定区域中。
具体来说,应用(例如软件应用)指示主机单元102根据外部存储地址获取存储在特定的SATA HDD的特定存储空间中的数据,并将该数据存储到存储单元108中。外部存储地址可以是PM Port和LBA信息。如图6所示,在主机单元102根据外部存储地址从外部设备获取数据之后,主机单元102将数据存储到主机单元102的本地存储器中,并将事务请求(例如DMA请求)发送到AMBA桥112。事务请求包括当前存储在主机单元102的本地存储器中的数据的存储位置信息和大小信息,以及设备300为数据预先分配的初始内部存储地址。AMBA桥112可以作为DMA主设备(DMA master)来工作。AMBA桥112根据事务请求中包括的数据的存储位置信息和大小信息来从主机单元102的本地存储器获取数据。用户信号生成器104从主机单元102获取数据的外部存储地址(例如PM Port和LBA信息)。
在步骤402中,用户信号生成器104根据数据的外部存储地址为数据生成用户定义的安全信号,并将用户定义的安全信号发送到AMBA桥112。用户定义的安全信号指示数据的安全等级。数据的安全等级指示当数据被存储到存储单元108中时数据所需要的安全保护等级。具体来说,例如,可以在用户信号生成器104中实现LUT(Look up table:查找表)用于生成用户定义的安全信号。在LUT中配置安全等级映射规则。在安全等级映射规则中定义安全等级和外部设备上的外部存储地址之间的关系。使用安全等级映射规则,用户信号生成器104由数据的外部存储地址来确定数据的安全等级,并在数据的用户定义的安全信号指示该数据的安全等级。
可以由工作在安全模式的ARM处理器114通过用户信号生成器104的配置接口来配置安全等级映射规则。用户信号生成器104可以是AMBA用户信号生成器。
在AMBA桥112分别从主机单元102接收到数据以及从用户信号生成器104接收到数据的用户定义的安全信号之后,AMBA桥112生成AMBA事务信号,并将AMBA事务信号发送到存储地址确定单元106,AMBA事务信号包括数据以及数据的用户定义的安全信号。
在步骤403中,存储地址确定单元106根据数据的安全等级确定数据在存储单元108中的内部存储地址。
在图7中,IOMMU/SMMU作为存储地址确定单元106中的MMU。然而,也可以使用其他类型的MMU作为存储地址确定单元106中的MMU。
在步骤404中,数据被存储在存储单元108中的最终的内部存储地址处,为数据提供的安全保护等级与数据的安全等级相对应。
在图3中,安全处理单元110被配置在存储地址确定单元106和存储单元108之间,但是这只是一个示例性实施例,安全处理单元110也可以被配置在存储地址确定单元106和AMBA桥112之间。如图8所示,在数据被存储到存储单元108中之前,安全处理单元110接收数据的AMBA事务信号,根据数据的安全处理要求确定是否需要对数据进行安全处理,如果安全处理单元110确定需要对数据进行安全处理,则安全处理单元110根据安全处理要求对数据进行相应的安全处理。
在本文中揭示的设备根据数据在外部设备中的外部存储地址来确定数据的安全等级,并根据安全等级来确定数据在设备中的内部存储地址。在不同的内部存储地址处,数据能够获得与数据的安全等级相对应的不同等级的安全保护。
在上文中参考了具体实施例对本发明进行了说明。但是不超出所附的权利要求书的精神和范围可以做出各种变形和改变。
在权利要求书中,“包括”和“具有”并不排除未列在权利要求中其他部件。本文中所使用的术语“一个”被定义为是一个或多个。而且,在权利要求中使用的介绍性表述“至少一个”和“一个或多个”不能被解释为权利要求书中的由不定冠词限定的部件仅包括一个这样的部件,即便在相同的权利要求中也使用了“至少一个”或“一个或多个”。除非有说明,否则术语“第一”和“第二”是用来任意区分这些术语所描述的部件。因此,这些术语并不是用于指示临时的部件或者这些部件的优先级。某些手段记载在不同的权利要求中并不表示这些手段的组成不能被使用产生有益效果。
Claims (22)
1.一种安全的数据存储设备,其特征在于,包括:
主机单元,被配置成获取存储在外部设备上的外部存储地址处的数据;
用户信号生成器,被配置成根据所述数据的所述外部存储地址生成用户定义的安全信号,所述用户定义的安全信号指示所述数据的安全等级;
存储地址确定单元,被配置成根据所述数据的所述安全等级为所述数据确定内部存储地址;以及
存储单元,被配置成将所述数据存储在与所述安全等级相对应的所述内部存储地址处。
2.根据权利要求1所述的数据存储设备,其特征在于,所述用户信号生成器使用安全等级和数据在外部设备上的外部存储地址之间的安全等级映射规则来确定所述数据的所述安全等级。
3.根据权利要求1所述的数据存储设备,其特征在于,所述存储地址确定单元使用安全等级和所述存储单元中的内部存储地址之间的内部存储地址映射规则来为所述数据确定所述内部存储地址。
4.根据权利要求3所述的数据存储设备,其特征在于,所述存储地址确定单元使用不同的内部存储地址映射规则来确定具有不同安全等级的数据的所述内部存储地址。
5.根据权利要求3所述的数据存储设备,其特征在于,所述存储地址确定单元进一步包括存储器管理单元,其中,如果所述数据的所述安全等级等于或高于预定安全等级,则所述存储器管理单元根据所述内部存储地址映射规则,将所述数据存储设备为所述数据预先分配的初始内部存储地址映射成所述数据的所述内部存储地址。
6.根据权利要求5所述的数据存储设备,其特征在于,所述存储器管理单元包括转换后备缓冲区,其中,如果所述数据的所述安全等级等于或高于预定安全等级,则使用所述转换后备缓冲区来根据所述内部存储地址映射规则,将所述数据存储设备为所述数据预先分配的初始内部存储地址映射成所述数据的所述内部存储地址。
7.根据权利要求3所述的数据存储设备,其特征在于,如果所述数据的所述安全等级低于预定安全等级,则所述存储地址确定单元根据所述内部存储地址映射规则,将所述数据存储设备为所述数据预先分配的初始内部存储地址作为所述数据的所述内部存储地址。
8.根据权利要求1所述的数据存储设备,其特征在于,进一步包括:
安全处理单元,在所述数据被存储到所述存储单元中之前,根据所述数据的安全处理要求,确定是否需要对所述数据执行安全处理,以及根据该确定结果对所述数据执行所述安全处理。
9.根据权利要求8所述的数据存储设备,其特征在于,所述安全处理要求是由所述用户定义的安全信号指示的。
10.根据权利要求8所述的数据存储设备,其特征在于,所述安全处理要求是根据所述数据的所述安全等级确定的。
11.根据权利要求8所述的数据存储设备,其特征在于,所述安全处理包括加密或解密处理。
12.一种安全的数据存储方法,其特征在于,包括:
获取存储在外部设备上的外部存储地址处的数据;
根据所述数据的所述外部存储地址生成用户定义的安全信号,所述用户定义的安全信号指示所述数据的安全等级;
根据所述数据的所述安全等级为所述数据确定内部存储地址;以及
将所述数据存储在与所述安全等级相对应的所述内部存储地址处。
13.根据权利要求12所述的数据存储方法,其特征在于,使用安全等级和数据在外部设备上的外部存储地址之间的安全等级映射规则来确定所述数据的所述安全等级。
14.根据权利要求12所述的数据存储方法,其特征在于,根据所述数据的所述安全等级为所述数据确定内部存储地址包括:
使用安全等级和所述存储单元中的内部存储地址之间的内部存储地址映射规则来为所述数据确定所述内部存储地址。
15.根据权利要求14所述的数据存储方法,其特征在于,使用不同的内部存储地址映射规则来确定具有不同安全等级的数据的所述内部存储地址。
16.根据权利要求14所述的数据存储方法,其特征在于,使用安全等级和所述存储单元中的内部存储地址之间的内部存储地址映射规则来为所述数据确定所述内部存储地址包括:
如果所述数据的所述安全等级等于或高于预定安全等级,则使用存储器管理单元根据所述内部存储地址映射规则,将为所述数据预先分配的初始内部存储地址映射成所述数据的所述内部存储地址。
17.根据权利要求14所述的数据存储方法,其特征在于,使用安全等级和所述存储单元中的内部存储地址之间的内部存储地址映射规则来为所述数据确定所述内部存储地址包括:
如果所述数据的所述安全等级等于或高于预定安全等级,则使用具有转换后备缓冲区的存储器管理单元根据所述内部存储地址映射规则,将为所述数据预先分配的初始内部存储地址映射成所述数据的所述内部存储地址。
18.根据权利要求14所述的数据存储方法,其特征在于,如果所述数据的所述安全等级低于预定安全等级,则根据所述内部存储地址映射规则,将为所述数据预先分配的初始内部存储地址作为所述数据的所述内部存储地址。
19.根据权利要求12所述的数据存储方法,其特征在于,进一步包括:
在所述数据被存储之前,根据所述数据的安全处理要求,确定是否需要对所述数据执行安全处理,以及
根据该确定结果对所述数据执行所述安全处理。
20.根据权利要求19所述的数据存储方法,其特征在于,所述安全处理要求是由所述用户定义的安全信号指示的。
21.根据权利要求19所述的数据存储方法,其特征在于,所述安全处理要求是根据所述数据的所述安全等级确定的。
22.根据权利要求19所述的数据存储方法,其特征在于,所述安全处理包括加密或解密处理。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610301169.XA CN107358129A (zh) | 2016-05-09 | 2016-05-09 | 安全的数据存储设备和方法 |
| US15/298,086 US20170322891A1 (en) | 2016-05-09 | 2016-10-19 | Device and method for secure data storage |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610301169.XA CN107358129A (zh) | 2016-05-09 | 2016-05-09 | 安全的数据存储设备和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107358129A true CN107358129A (zh) | 2017-11-17 |
Family
ID=60243541
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610301169.XA Withdrawn CN107358129A (zh) | 2016-05-09 | 2016-05-09 | 安全的数据存储设备和方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20170322891A1 (zh) |
| CN (1) | CN107358129A (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112528345A (zh) * | 2019-09-18 | 2021-03-19 | 华为技术有限公司 | 通信方法、装置、计算机可读存储介质和芯片 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4797853A (en) * | 1985-11-15 | 1989-01-10 | Unisys Corporation | Direct memory access controller for improved system security, memory to memory transfers, and interrupt processing |
| CN1373425A (zh) * | 2001-03-05 | 2002-10-09 | 中国科学院计算技术研究所 | 一种具有安全等级分区隔离的计算机*** |
| US20050192923A1 (en) * | 2004-02-27 | 2005-09-01 | Daiki Nakatsuka | Computer system for allocating storage area to computer based on security level |
| CN101719103A (zh) * | 2009-11-25 | 2010-06-02 | 成都市华为赛门铁克科技有限公司 | 基于存储设备的信息处理方法以及存储设备 |
| US8473756B2 (en) * | 2008-01-07 | 2013-06-25 | Security First Corp. | Systems and methods for securing data using multi-factor or keyed dispersal |
| US8893267B1 (en) * | 2011-08-17 | 2014-11-18 | Applied Micro Circuits Corporation | System and method for partitioning resources in a system-on-chip (SoC) |
| CN105027131A (zh) * | 2012-12-27 | 2015-11-04 | 罗文有限公司 | 用于安全登录的***、方法及其设备 |
-
2016
- 2016-05-09 CN CN201610301169.XA patent/CN107358129A/zh not_active Withdrawn
- 2016-10-19 US US15/298,086 patent/US20170322891A1/en not_active Abandoned
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4797853A (en) * | 1985-11-15 | 1989-01-10 | Unisys Corporation | Direct memory access controller for improved system security, memory to memory transfers, and interrupt processing |
| CN1373425A (zh) * | 2001-03-05 | 2002-10-09 | 中国科学院计算技术研究所 | 一种具有安全等级分区隔离的计算机*** |
| US20050192923A1 (en) * | 2004-02-27 | 2005-09-01 | Daiki Nakatsuka | Computer system for allocating storage area to computer based on security level |
| US8473756B2 (en) * | 2008-01-07 | 2013-06-25 | Security First Corp. | Systems and methods for securing data using multi-factor or keyed dispersal |
| CN101719103A (zh) * | 2009-11-25 | 2010-06-02 | 成都市华为赛门铁克科技有限公司 | 基于存储设备的信息处理方法以及存储设备 |
| US8893267B1 (en) * | 2011-08-17 | 2014-11-18 | Applied Micro Circuits Corporation | System and method for partitioning resources in a system-on-chip (SoC) |
| CN105027131A (zh) * | 2012-12-27 | 2015-11-04 | 罗文有限公司 | 用于安全登录的***、方法及其设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170322891A1 (en) | 2017-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11088846B2 (en) | Key rotating trees with split counters for efficient hardware replay protection | |
| US10671422B2 (en) | Monitoring of memory page transitions between a hypervisor and a virtual machine | |
| CN109643284B (zh) | 用于存储级存储器的多租户加密 | |
| US10560262B2 (en) | Information-processing system, information-processing apparatus, management apparatus, and processing method | |
| CN107851163B (zh) | 用于i/o数据的完整性、防重放和真实性保证的技术 | |
| US10810138B2 (en) | Enhanced storage encryption with total memory encryption (TME) and multi-key total memory encryption (MKTME) | |
| US20190095649A1 (en) | Cryptographic operations for secure page mapping in a virtual machine environment | |
| US10303621B1 (en) | Data protection through address modification | |
| CN107562515A (zh) | 一种在虚拟化技术中管理内存的方法 | |
| KR20160125987A (ko) | 프로세싱 시스템 내 정보의 암호 보호 | |
| US20220197825A1 (en) | System, method and apparatus for total storage encryption | |
| CN107451072B (zh) | 具有即时加密器的计算***及其操作方法 | |
| CN103502993A (zh) | 虚拟计算机***、保密信息保护方法以及保密信息保护程序 | |
| CN103814370B (zh) | 利用蒙哥马利乘法结果的分区和分散式存储的模幂运算 | |
| CN106716435B (zh) | 设备与安全处理环境之间的接口 | |
| CN107430555B (zh) | 用于存储器保护的高速缓存和数据组织 | |
| US10387056B2 (en) | Obfuscation-enhanced memory encryption | |
| JP2022522595A (ja) | ホストベースのフラッシュメモリメンテナンス技術 | |
| US11526451B2 (en) | Secure address translation services using bundle access control | |
| US11048644B1 (en) | Memory mapping in an access device for non-volatile memory | |
| KR101684042B1 (ko) | 네트워크 장치에서 프로세싱 요소를 위한 공유 버퍼 | |
| CN108920964A (zh) | 可重构硬件加解密方法、***、计算机设备及存储介质 | |
| CN107358129A (zh) | 安全的数据存储设备和方法 | |
| US10169616B1 (en) | Cryptographic processing of data and instructions stored off-chip | |
| CN107533516B (zh) | 用于管理对在装置的芯片上的***的安全模块的多次访问的设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20171117 |
|
| WW01 | Invention patent application withdrawn after publication |